Всплывающие вкладки с рекламой в браузере

@Buzyur92 · Регистрация: 09.02.2018

Студворк — интернет-сервис помощи студентам

В браузерах Google chrome и Microsoft edge при клике мышью на любую точку открытой страницы, открываются вкладки с рекламой. А при открытии новой вкладки, та меняется на поиcковую сиcтему Alpha. Клинером чистил, браузеры переустанавливал, ярлыки и прочее все проверял. Файл логов приложил. Надеюсь на вашу помощь.

@Sandor · 12.02.2018, 10:57

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Buzyur92. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0D0F0447-7F08-790D-0C11-0C0B780C1178}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Checker64" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Buzyur92 · 16.02.2018, 20:55 **[ТС]**

Логи скинул файл, quarantine.zip отсутствует. Проблема осталась(((

@Sandor · 19.02.2018, 10:06

1. Пофиксите в HijackThis следующие строчки:

Code
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = [url]http://mail.ru/cnt/10445?gp=811600[/url]
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={searchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5FCF79C3-3978-41DC-8255-15E5C840B65F%7D&gp=811610 - Поиск@Mail.Ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{3637db87-7224-4be1-bd2c-6691b95c9cc8}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{3637db87-7224-4be1-bd2c-6691b95c9cc8}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{a92a420b-40d8-47b8-b56a-1fccce599055}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{a92a420b-40d8-47b8-b56a-1fccce599055}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{aa2e638f-9e1c-4cc0-9099-c17539a8aef5}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{aa2e638f-9e1c-4cc0-9099-c17539a8aef5}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: {0D0F0447-7F08-790D-0C11-0C0B780C1178} - C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand 
O22 - Task: {8314C1E0-07D0-D00B-8443-79CABCD38765} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\48f92ebc\ea99fe4.dll"

2. Подготовьте и прикрепите лог сканирования AdwCleaner.

@Buzyur92 · 19.02.2018, 12:27 **[ТС]**

пофиксил. вот логи

@Sandor · 19.02.2018, 12:32

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Buzyur92 · 19.02.2018, 13:30 **[ТС]**

сделано, третьего файла не было

@Sandor · 19.02.2018, 13:42

А этот?

Сообщение от Sandor

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра)

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player
WeatherForecaster

Далее:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Start::
CreateRestorePoint:
HKU\S-1-5-21-867830430-350419068-1161069448-1001\...\Run: [WeatherForecaster] => C:\Users\User\AppData\Roaming\WeatherForecaster\python\pythonw.exe [96408 2017-07-08] (Python Software Foundation) <==== ATTENTION
Tcpip\..\Interfaces\{a92a420b-40d8-47b8-b56a-1fccce599055}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{aa2e638f-9e1c-4cc0-9099-c17539a8aef5}: [DhcpNameServer] 82.163.143.176
CHR HomePage: Default -> inline.go.mail.ru
2018-01-22 20:19 - 2018-02-06 10:56 - 000000000 ____D C:\Users\User\AppData\Roaming\WeatherForecaster
2018-01-22 20:19 - 2018-01-22 20:19 - 000003666 _____ C:\WINDOWS\System32\Tasks\WeatherForecaster
2018-01-22 20:19 - 2018-01-22 20:19 - 000003606 _____ C:\WINDOWS\System32\Tasks\WeatherForecaster2
2018-01-22 20:19 - 2018-01-22 20:19 - 000000000 ____D C:\Users\User\AppData\Roaming\Smart Application Controller
2018-01-22 20:19 - 2017-03-24 20:06 - 000078632 _____ (Web Viewer Pro) C:\WINDOWS\system32\Drivers\webviewprocontroller.sys
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Buzyur92 · 19.02.2018, 14:00 **[ТС]**

все сделал прикрепил, оба файла

@Buzyur92 · 19.02.2018, 14:10 **[ТС]**

на текущий момент, вкладки перестали появляться, какие то действия еще нужно сделать?

@Sandor · 19.02.2018, 14:18

Завершающие шаги:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Buzyur92 · 19.02.2018, 14:32 **[ТС]**

Спасибо огромное, подскажите как поддержать ваш сайт и если не трудно какие меры профилактики нужны что бы обезопасить свой компьютер от таких проблем?

@Sandor · 19.02.2018, 14:35

Сообщение от Buzyur92

какие меры профилактики нужны

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

Рекомендации после удаления вредоносного ПО

Сообщение от Buzyur92

как поддержать ваш сайт

Желающим поддержать проект.

Книга отзывов.

(В адресной строке слово resources замените на threads)

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,807
	12.02.2018, 10:57
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Buzyur92. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "{0D0F0447-7F08-790D-0C11-0C0B780C1178}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Checker64" /F', 0, 15000, true); DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,807
	19.02.2018, 12:32
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Buzyur92 0 / 0 / 0 Регистрация: 09.02.2018 Сообщений: 7
	19.02.2018, 14:10 [ТС]
	на текущий момент, вкладки перестали появляться, какие то действия еще нужно сделать? 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,807
	19.02.2018, 14:18
	Завершающие шаги: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0